Macht einen Rechtsklick auf die Variable, „Find out what accesses this address” und bestätigt die Meldung mit „Yes”.
Jetzt öffnet sich der Disassembler und ein Helper. Geht im Helper auf „Auto-Hack“, dort müsste jetzt euere Adresse stehen. Klick Sie an und wartet bis unten ein Eintrag erscheint. Wenn ihr einen habt, macht einen Rechtsklick und wählt „Go To->In Current Tab“.
An der grau markierten Stelle wird auf die Variable über den Pointer zugegriffen. Normalerweiße wird entweder etwas hinein geschrieben oder es wird ausgelesen.
mov *Register*, [Pointer+Offset] Hier wird die Variable in ausgelesen
mov [Pointer+Offset], *Register* Hier wird etwas in die Variable geschrieben.
[…]
MOV EAX, 1
PUSH EAX
MOV EAX, DWORD PTR [102714]
POP EBX
MOV EAX, EBX
MOV ECX, 102370
MOV DWORD PTR [ECX], EAX
MOV EAX, DWORD PTR [102714]
MOV EBX, DWORD PTR [102370]
MOV EAX, DWORD PTR [EAX+EBX*4]
MOV ECX, DWORD PTR [EAX+30]
[…]
Alles was danach kommt interessiert uns nicht mehr!
In der Rot markierten Zeile (in CE die oberste Zeile, scrollt ein bisschen hoch) wird das Leben über einen Pointer + 30 ausgelesen. Der Pointer steht in EAX eine Zeile weiter oben sehen wir das es wieder ein Pointer ist + ein andere Pointer*4.
Diese stehen in den Zeilen darüber der zweite Pointer ist also 102714 + Pointer 102370 * 4.
Noch ein Stück weiter ob sehen wir das unsere dritter Pointer (Pointer 102370 * 4) in ECX geschrieben wird „MOV ECX, 102370“ und dann der Wert von EAX hinein geschrieben wird „MOV DWORD PTR [ECX], EAX“. Also steht usner Offset für den zweiten Pointer („EBX*4”) in Wirklichkeit in in EAX bzw. wird dort hinein geschrieben.
Darüber sehen wir „MOV EAX, EBX“ das heißt der Wert in EAX, der unser Offset enthalt kommt aus EBX. Jetzt suchen wir also nach dem was in EBX steht und wir finden direkt darüber „POP EBX“ POP bedeutet, dass es der oberste Wert vom Stack geholt wird. Auf den Stack kann mit PUSH etwas „drauf gelegt“ werden. Unser PUSH ist wieder schnell gefunden „PUSH EAX“, also kucken wir wieder nach EAX und da haben wir auch schon einen statischen Wert, also ein Wert der immer gleich bleibt, gefunden „MOV EAX, 1“ hier wird nun 1 in das Register geschrieben, wandert dann über den Pointer in das Offset und wird mal 4 genommen, unser endgültiges Offset ist also 4!
Mache demnächst noch Screensh.!
Made by SWW13.
EDIT: Screenshots
[Only registered and activated users can see links. Click Here To Register...]
[Only registered and activated users can see links. Click Here To Register...]
Jetzt öffnet sich der Disassembler und ein Helper. Geht im Helper auf „Auto-Hack“, dort müsste jetzt euere Adresse stehen. Klick Sie an und wartet bis unten ein Eintrag erscheint. Wenn ihr einen habt, macht einen Rechtsklick und wählt „Go To->In Current Tab“.
An der grau markierten Stelle wird auf die Variable über den Pointer zugegriffen. Normalerweiße wird entweder etwas hinein geschrieben oder es wird ausgelesen.
mov *Register*, [Pointer+Offset] Hier wird die Variable in ausgelesen
mov [Pointer+Offset], *Register* Hier wird etwas in die Variable geschrieben.
[…]
MOV EAX, 1
PUSH EAX
MOV EAX, DWORD PTR [102714]
POP EBX
MOV EAX, EBX
MOV ECX, 102370
MOV DWORD PTR [ECX], EAX
MOV EAX, DWORD PTR [102714]
MOV EBX, DWORD PTR [102370]
MOV EAX, DWORD PTR [EAX+EBX*4]
MOV ECX, DWORD PTR [EAX+30]
[…]
Alles was danach kommt interessiert uns nicht mehr!
In der Rot markierten Zeile (in CE die oberste Zeile, scrollt ein bisschen hoch) wird das Leben über einen Pointer + 30 ausgelesen. Der Pointer steht in EAX eine Zeile weiter oben sehen wir das es wieder ein Pointer ist + ein andere Pointer*4.
Diese stehen in den Zeilen darüber der zweite Pointer ist also 102714 + Pointer 102370 * 4.
Noch ein Stück weiter ob sehen wir das unsere dritter Pointer (Pointer 102370 * 4) in ECX geschrieben wird „MOV ECX, 102370“ und dann der Wert von EAX hinein geschrieben wird „MOV DWORD PTR [ECX], EAX“. Also steht usner Offset für den zweiten Pointer („EBX*4”) in Wirklichkeit in in EAX bzw. wird dort hinein geschrieben.
Darüber sehen wir „MOV EAX, EBX“ das heißt der Wert in EAX, der unser Offset enthalt kommt aus EBX. Jetzt suchen wir also nach dem was in EBX steht und wir finden direkt darüber „POP EBX“ POP bedeutet, dass es der oberste Wert vom Stack geholt wird. Auf den Stack kann mit PUSH etwas „drauf gelegt“ werden. Unser PUSH ist wieder schnell gefunden „PUSH EAX“, also kucken wir wieder nach EAX und da haben wir auch schon einen statischen Wert, also ein Wert der immer gleich bleibt, gefunden „MOV EAX, 1“ hier wird nun 1 in das Register geschrieben, wandert dann über den Pointer in das Offset und wird mal 4 genommen, unser endgültiges Offset ist also 4!
Mache demnächst noch Screensh.!
Made by SWW13.
EDIT: Screenshots
[Only registered and activated users can see links. Click Here To Register...]
[Only registered and activated users can see links. Click Here To Register...]
